風險評鑑方法論

• IDO 31010 說明各種風險評鑑方法
• ISO 27005 -> ISMS風險評估
• 行政院資通系統風險評鑑參考指引 (V4.0) 31010 27005的綜合體
• NIST 800-30 -> 用於電腦系統與IT安全議題之風險評鑑
• FRAP 用於分析一個系統 應用程式或業務流程
• OCTAVE 位高權重的人才知道組織真正的風險
• AS/NZS 4360 可用於分析財務 資產 人員安全與商業決策風險
• FMEA 常用在產品開發，哪裡會出錯? 怎麼處理?
• Fault tree analysis 造成失效的可能性關聯
• CRAMM 自動化的工具與風險應對措施庫可選擇

ISO 27005 (2005年)

主要對象是資訊資產，新版已經不太看這個了

ISO 27001:2013新版轉版差異

https://www.slideshare.net/YangFoung/iso-270012013-42873661

ISO 27001 風險管理要求

• 處理風險和機會的活動
• • 當規劃資訊安全管理系統，組織確認需要處理的風險及機會
• • • 確保資訊安全管理系統能夠達成預期的結果
• • • 預防握減少預期外的效應
• • • 達到持續改善

風險評鑑準則 = 選用的風險評鑑方法論

識別風險所有人：評估完風險後，要交給風險所有人確認，他說可以接受就好，通常會是單位的資安長

政府機關（構）資通安全責任等級分級作業規定

https://nicst.ey.gov.tw/File/1A9F9E386B0FEF5E?A=C

流程範例 (以資訊資產為標的 ISO 27001:2005版的流程)

每一項資訊資產，都要進行以下流程評估

1. 資訊資產識別

2. 資訊資產類別

3. 鑑別資訊資產價值
   鑑別重不重要，用機密性 完整性 可用性來分級

高3 中2 普1
這個目的只是要識別 "比較"重要或是比較不重要，差幾分不是重點

1. 資訊資產評估
   資產價值=機密性+完整性+可用性

2. 威脅與脆弱性識別
   威脅 脆弱性

3. 現有控制措施識別

4. 評鑑事故可能性
   威脅等級 脆弱性等級

5. 估計風險等級
   資訊資產價值 = 機密性鑑價+完整性鑑價+可用性鑑價
   資訊資產風險值 = 資訊資產價值 * 威脅等級 * 脆弱性等級

6. 風險評估
   訂定風險等級 可接受風險等級

   • 高 55~81
   • 中 29~54
   • 普 3~28

7. 風險評鑑複合

8. 風險處力

9. 風險追蹤

思考一下

• 資訊資產需要蒐集那些資料
  全部都得蒐集
• 上述的管理流程有何優缺點?
  每一項都要盤點，很花時間
• 如何改善?
  把資訊資產群組化

兩種方法論

定量風險評鑑方法論 定量是會很明確有損失的金額 (沒有純粹的定量方法論)
定性風險評鑑方法論 行政院用的是這種的

以機密性價值舉例
普 1 後果輕微 | 損失50萬以下
中 2 後果嚴重，且會影響業務 | 損失50萬~100萬
高 3 後果很嚴重，且會影響業務，或信譽受損 | 100萬以上

CMMI 成熟度

https://zh.wikipedia.org/wiki/%E8%83%BD%E5%8A%9B%E6%88%90%E7%86%9F%E5%BA%A6%E6%A8%A1%E5%9E%8B%E9%9B%86%E6%88%90
希邁開發方面，1.3版 (pdf). CMMI-DEV (Version 1.3, November 2010). 卡內基·梅隆大學軟體工程研究所. 2010 [2011-02-16].
希邁採購方面，1.3版 (pdf). CMMI-ACQ (Version 1.3, November 2010). 卡內基·梅隆大學軟體工程研究所. 2010 [2011-02-16].
希邁服務方面，1.3版 (pdf). CMMI-SVC (Version 1.3, November 2010). 卡內基·梅隆大學軟體工程研究所. 2010 [2011-02-16].

流程範例 (以資訊服務與資訊資產為標的 高階風險評鑑)

高階風險評鑑?是什麼

「行政院及所屬各機關資訊安全管理要點」第二章「通則」 第三點
參考 ISO/IEC 27005，提供高階、詳細兩種風險評鑑作法
https://download.nccst.nat.gov.tw/attachfilehandout/2010091002.pdf

1. 輸入資訊服務
2. 識別業務屬性

• 行政類業務 (對內的都算行政 ex行政 秘書 會計 主計 人事 政風)
• 業務類業務 (對外的都是業務 )

1. 設定安全等級
   機密性
   完整性
   可用性
   法律遵循性
   一樣普中高，取其高的為準
   例如 這四個都是普，安全等級才可以是普

2. 輸入MTD RTO RPO 資訊

• RTO Recovery Time Objective 復原時間目標
  最低可營運水準，一般會小於MTD，約為MTD 2/3，例如 MTD是24小時，RTO大約16小時
• RPO 資料復原點目標
  允許有多長時間的資料損毀
  ex一天備份一次，那就是損失一天
• MTD Maximum Tolerable Downtime (對組織而言，非IT人員) 最長可接受的中斷時間

RPO和MTD的時間不要亂喊，做得到的時間才寫上去

1. 資訊資產鑑別

2. 資訊資產類別
   資訊紀錄 實體設備 電腦系統 人員 服務
   用機密性 完整性 可用性來分級

高3 中2 普1

安全等級為高和中者，再執行以下活動 (這個條件是人設定的)
高的沒話說，一定要做，中的可以交給單位主管來評估是否要做
行政院定的：詳細風險評鑑方法論(作業規範)

1. 鑑別資訊資產價值

2. 資訊價值評估
   資產價值=MAX(機密性，完整性，可用性)

資產價值為高者 再執行下列活動

1. 威脅與脆弱性識別

2. 現有控制措施識別

3. 評鑑事故可能性

4. 估計風險等級
   資訊資產風險值 = 資訊資產價值 * 威脅等級 * 脆弱性等級

5. 風險評估 (訂定風險等級 可接受風險等級)

6. 風險評鑑複核

7. 風險處理

8. 風險追蹤

思考一下

• 上述流程的優點
  可以專注在較高的東西
• 缺點
  等級中的可能會偷懶不做
• 改善方式
  等級為中的，可以不要第一年改善，而是逐年改善
  or
  資產價值高 或 中 者都執行威脅與脆弱性識別

流程範例 參考ISO 31000和行政院流程 (以資訊服務或系統為標的)

資訊資產鑑價 威脅等等 在這裡都沒有

這個流程只探討風險情境 (明天說)

缺點：風險情境不好做，困難度遠比前兩個更難

資訊資產盤點的欄位有哪些

• 名稱
  硬體的話，最好具備唯一性，故名稱加上型號、編號避免重複
• 類別 (資訊紀錄 實體設備 電腦系統 人員 服務)
• 管理人
• 說明
• 存放位置
• 原廠名稱 (這三個是行政院擔心中國產品增列的)
• 廠牌 (這三個是行政院擔心中國產品增列的)
• 型號 (這三個是行政院擔心中國產品增列的)
• 使用單位
• 數量

資訊資產與組態項目

組態項目 (Configuration item CI)

需要管理之資訊資產，用以交付IT服務，可分為

• • 服務或系統
• • 支援服務或系統的硬體 軟體 文件或支援人員
• • 軟體模組或細微的硬體元件
    所有CI都是服務資產，但資訊資產不一定為CI
    CI應該接受變更管理之控制

組態欄位

• 唯一之識別碼
• CI類型
• 名稱/描述
• 版本
• 位置
• 供應日期
• 授權詳細資訊 如授權到期日
• 擁有者/保管人
• 狀態
• 供應者/來源
• 相關文件負責人
• 相關軟體負責人
• 歷史資料 如事故 問題 變更資訊
• 關係類型
• 適用之服務水準協議(Service Level Agreement, SLA)

組態項目資料例子(硬體類)

• 編號
• 名稱
• 存放位置
• 機貴編號
• 財產編號
• 管理者
• 廠商資訊
• 廠牌
• 型號
• 序號
• 硬體資訊
• 作業系統
• 版本資訊
• 帳號權限
• 密碼
• 網路設定
• 安全設定
• 磁碟分割
• 網路埠設定
• 應用系統
• 服務
• 排成
• 開機注意事項
• 開機程序
• 關機注意事項
• 關機程序
• 備份
• 系統相關關聯性
• 操作手冊 文件
• 災難回復

資訊服務和資訊系統的差別

資訊服務比較大
資訊系統比較小
資訊服務通常會包含資訊系統

風險評鑑實作流程

資通系統(服務)清冊

填寫說明

模擬自己是公司資訊人員，負責機房，填寫這個表格
列出三個資訊系統或服務即可
ex ERP、Mail

業務屬性 安全等級先空著

如果不需要異動，就寫N/A 或 不適用

資通系統(服務)安全等級評估表

共同性系統

包含共用性與共通性系統

• 共用性系統
  資通系統是由單一機關開發與資料管理的，所有的設備與資料都在單一機關，其餘機關僅涉及操作
  例如國稅系統

共用性系統"只有使用權，無法做任何的安全管控(硬體 軟體都在別人家)，甚至連盤點都不用，但做清冊時還是盤點一下比較好

• 共通性系統
  由單一機關開發與資料管理，軟體更新在上層，各機關保有硬體與資料儲存和操作
  例如監獄管理系統 檢察官系統 電子公文交換系統

共通性系統因為資料在自己家裡，所以需要做安全等級評估